मुफ्त स्कैन करें
MEDIUMCVE-2026-44294CVSS 5.3

CVE-2026-44294: DoS in protobufjs

प्लेटफ़ॉर्म

nodejs

घटक

protobufjs

में ठीक किया गया

7.5.6

NVD पर देखें
सहेजें

CVE-2026-44294 protobufjs में एक Denial of Service (DoS) भेद्यता है। यह भेद्यता दुर्भावनापूर्ण protobuf स्कीमा या JSON विवरण प्रदान करके protobufjs रनटाइम कोड जनरेशन को विफल कर सकती है, जिससे प्रभावित संदेश प्रकार अनुपयोगी हो जाते हैं। यह भेद्यता protobufjs के संस्करणों ≤7.5.5 को प्रभावित करती है और इसे संस्करण 7.5.6 में ठीक किया गया है।

प्रभाव और हमले की स्थितियाँ

एक हमलावर जो protobuf स्कीमा या JSON विवरण प्रदान या प्रभावित कर सकता है, वह protobufjs रनटाइम कोड जनरेशन को विफल करके प्रभावित संदेश प्रकारों को अनुपयोगी बना सकता है। इससे एप्लिकेशन क्रैश हो सकता है या अप्रत्याशित व्यवहार हो सकता है। चूंकि यह कोड जनरेशन के दौरान त्रुटि उत्पन्न करता है, इसलिए इसका उपयोग सेवा से इनकार करने के लिए किया जा सकता है। इस भेद्यता का प्रभाव एप्लिकेशन पर निर्भर करता है जो protobufjs का उपयोग करता है, लेकिन इसमें डेटा हानि या सिस्टम की उपलब्धता में व्यवधान शामिल हो सकता है।

शोषण संदर्भ

CVE-2026-44294 की गंभीरता मध्यम है (CVSS स्कोर 5.3)। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध शोषण अभी तक ज्ञात नहीं हैं, लेकिन इसका उपयोग सेवा से इनकार करने के लिए किया जा सकता है। CISA ने इस भेद्यता के बारे में कोई एडवाइजरी जारी नहीं की है। NVD प्रकाशन तिथि 2026-05-12 है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.09% (25% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L5.3MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकprotobufjs
अधिकतम संस्करण7.5.5
में ठीक किया गया7.5.6

कमजोरी वर्गीकरण (CWE)

CWE-20

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-44294 के लिए प्राथमिक शमन उपाय protobufjs को संस्करण 7.5.6 या बाद के संस्करण में अपडेट करना है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, इनपुट सत्यापन लागू किया जा सकता है ताकि यह सुनिश्चित किया जा सके कि protobuf स्कीमा या JSON विवरण में दुर्भावनापूर्ण नियंत्रण वर्ण शामिल नहीं हैं। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग दुर्भावनापूर्ण अनुरोधों को ब्लॉक करने के लिए भी किया जा सकता है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a la versión 7.5.6 o superior, o a la versión 8.0.2 o superior para mitigar la vulnerabilidad.  La actualización corrige la falta de escape de caracteres de control en los nombres de los campos, previniendo posibles denegaciones de servicio durante la compilación de las funciones generadas.

अक्सर पूछे जाने वाले सवाल

CVE-2026-44294 — DoS protobufjs में क्या है?

CVE-2026-44294 protobufjs में एक Denial of Service (DoS) भेद्यता है जो दुर्भावनापूर्ण protobuf स्कीमा या JSON विवरण के कारण रनटाइम कोड जनरेशन में त्रुटि उत्पन्न कर सकती है।

क्या मैं CVE-2026-44294 में protobufjs से प्रभावित हूं?

यदि आप protobufjs के संस्करण 7.5.5 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं protobufjs में CVE-2026-44294 को कैसे ठीक करूं?

CVE-2026-44294 को ठीक करने के लिए, protobufjs को संस्करण 7.5.6 या बाद के संस्करण में अपडेट करें।

क्या CVE-2026-44294 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-44294 के लिए सार्वजनिक रूप से उपलब्ध शोषण अभी तक ज्ञात नहीं हैं, लेकिन इसका उपयोग सेवा से इनकार करने के लिए किया जा सकता है।

मैं CVE-2026-44294 के लिए आधिकारिक protobufjs एडवाइजरी कहां पा सकता हूं?

अधिक जानकारी के लिए, आधिकारिक protobufjs एडवाइजरी यहां देखें: [https://github.com/protobufjs/protobufjs/security/advisories/GHSA-5g3x-349x-739x](https://github.com/protobufjs/protobufjs/security/advisories/GHSA-5g3x-349x-739x)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

कोई भी मैनिफेस्ट (composer.lock, package-lock.json, WordPress प्लगइन सूची…) अपलोड करें या अपनी कंपोनेंट सूची पेस्ट करें। आपको तुरंत एक भेद्यता रिपोर्ट मिलेगी। फ़ाइल अपलोड करना सिर्फ शुरुआत है: एक अकाउंट के साथ आपको निरंतर निगरानी, Slack/ईमेल अलर्ट, मल्टी-प्रोजेक्ट और व्हाइट-लेबल रिपोर्ट मिलती है।

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringव्हाइट-लेबल रिपोर्ट

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...